解决 CDN 后又出问题:自建的 DNS 遭遇 flood 攻击。

2015-03-15 17:36:45 +08:00
 xiaozhizhu1997
两个DNS都在Azure的A1方案上,使用https://www.v2ex.com/t/131225这个程序,在WS2012R2上面直接运行exe就行了。
中午突然发现自己电脑解析不了域名了,遂登入RDP,一看log,三四个IP在刷屏,请求各种随机的域名,CPU直接满载。
很显然这是我遭遇flood攻击了...
同时最不巧的是接到了世纪互联客服小妹的电话,试用也要结束了,顺势就把DNS迁到了阿里云上面,我也不了解云盾能不能防flood...
大家对防flood有何方案?
我的思路是 5秒内发送超过10个请求就封掉这个IP... 但这个似乎在WS下没啥可行性...
如果有个方案也好,为此转投Debian也愿意...

最奇怪的是我的DNS从未公开,只给了二三十个“可靠的”自己认识的人用,居然莫名其妙就被flood。。。
难道是因为我加了AdBlock hosts和OneDNS那个屏蔽恶意域名的hosts动了某些人的蛋糕?
4349 次点击
所在节点    DNS
12 条回复
bobopu
2015-03-15 18:00:15 +08:00
没收到azure防火墙的报警邮件吗?如果没报警那就是不是流量型攻击了。你在系统里也没装防火墙限制udp包吗?
bobopu
2015-03-15 18:01:23 +08:00
也有可能是你这个ip之前被其他人用过的,误伤了。不过这个可能性小些吧。
lsylsy2
2015-03-15 18:09:07 +08:00
一看log,三四个IP在刷屏,请求各种随机的域名,CPU直接满载。

实际上,那三四个IP被你攻击了……你被当做放大攻击的跳板了
mengskysama
2015-03-15 18:11:16 +08:00
应该是DNS Amplification,可以在程序里实现个计数器和黑名单,10秒内超过100次请求就拒绝掉,你看到的IP是受害者IP。
mengskysama
2015-03-15 18:13:10 +08:00
IPV4 IP没多少,而且还是UDP,用一台机器扫整个段的DNS服务器一个月都不用。
bobopu
2015-03-15 18:38:35 +08:00
windows的话,上sep可解。
xiaozhizhu1997
2015-03-15 19:12:13 +08:00
@bobopu 也许是愚蠢的我把防火墙关了的缘故。
bobopu
2015-03-15 19:25:24 +08:00
@xiaozhizhu1997 你把azure的端点关闭了?不会吧。
xiaozhizhu1997
2015-03-15 20:09:00 +08:00
@bobopu 端点当初脑袋秀逗把80 443也给开了。。。。
我把WS系统自带防火墙给关了...
bobopu
2015-03-15 20:41:53 +08:00
@xiaozhizhu1997 如果没有运行iis的话,开这两个端口应该是不作响应的。系统自带的防火墙对这种攻击没啥效果。你需要对udp包做出限制,可上赛门铁克sep解决,或者服务器安全狗都能解决。
xiaozhizhu1997
2015-03-15 20:59:09 +08:00
@bobopu 感谢指点,上了安全狗,限制了每秒接收的UDP包。
ryd994
2015-03-16 01:47:56 +08:00
应该就是有人用来反射了,限制客户请求频率,限制放大倍数,限制缓存miss频率,这些对exim都是基本

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/177060

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX